《医院网络安全运营能力成熟度评估指南》【试行版】解读：从开题到发布，联合十余家医院共同编制

　　2022年印发的《医疗卫生机构网络安全管理办法》提出：构建 " 管理、技术、运营 " 三维融合的安全防护体系，各级医院根据政府提出的工作要求，先后启动了医院安全防护体系建设，然而，就所开展的建设成效而言，其整体安全防护效果如何，网络安全运营的哪些方面、哪些环节上存在不足，尚存在缺乏相应的测量与评估手段。

　　基于此，2024年由中国医院协会信息专业委员会牵头，联合全国十余家医院的信息化专家共同编制了《医院网络安全运营能力成熟度评估指南》【试行版】（以下简称“指南”）。项目于2024年12月开题，历时6个月完成研究、验证与修订，首次构建了覆盖六大过程域、四大能力域的五层成熟度评估框架，为医院网络安全运营提供了从“初始级”到“持续改进级”的自评估标尺。

　　指南在CHIMA 2025大会正式对外发布，这部医疗行业首个网络安全 “体检标准” 的问世，标志着医院网络安全运营建设进入 “评估引导改进” 的新阶段。

图1 《医院网络安全运营能力成熟度评估指南》发布现场

　　为帮助医院更好理解指南内涵，南昌大学第一附属医院在CHIMA 2025大会上进行了解读，通过深入阐述指南的评估流程、应用场景、模型架构等方式，解析如何实现“指导医院规划-评估运营现状-改进建设不足”的三大核心应用场景，吸引了数百名医院信息部门负责人参与交流。 

图2 南昌大学第一附属医院信息处处长曹磊深度解读指南内涵

　　指导网络安全运营建设规划：医院可根据自身情况对标指南不同层级，以此将不同层级的指标作为指导网络安全运营建设规划的条目。

　　评估网络安全运营建设现状：可快速识别安全运营过程中制度流程是否有缺失技术工具能力、是否有所不足、组织是否配置不合理、人员能力是否不达标。

　　改进网络安全运营建设不足：根据现状评估结果，可明确医院在网络安全建设方面的优势和不足，对于评估效果较差且对医院网络安全至关重要的领域，能够进行重点投入和提升。

成熟度评估框架解读

　　在构建网络安全运营能力成熟度评估框架时，经过参考大量国内外文献和国家标准文件，决定采用由过程域、能力域、层级域构建的三维框架。（如下图所示）

图3 安全运营能力成熟度评估框架

　　此类三维框架从业务视角（过程域）、支撑体系（能力域）、进化路径（层级域）进行紧密融合， 形成完整评估链条，过程域定义“做什么”，能力域回答“如何做”，层级域明确“做到什么程度”。

　　过程域：在实施网络安全运营工作时，首要任务是明确网络安全运营工作的具体内容，将所有相关工作进行系统化整理，整理结果即为过程域。

　　能力域：这些工作需要具备何种能力，如图所述，安全运营能力体现在“组织人员、制度流程、技术工具、工作执行”这四个维度上，每个工作项都应在这些维度上满足相应的条件要求，这四个维度即为能力域。

　　层级域：鉴于安全运营是一个持续优化的管理过程，为了体现工作在四个能力维度上的效果，我们将安全运营工作划分为五个阶段性的层级，以展示安全运营工作的持续优化过程，这五个阶段即为层级域。

　　围绕各框架中过程域的具体工作项，基于四项能力维度和五级层级体系，构建了系统化、分层次的标准化指标评估体系结构，通过量化指标要素建立网络安全能力评估标准，如下图结构所示，每项工作会分为四个能力项，每个能力项又具备5个等级，每个等级会有具体的指标项要求，整篇指南可评估指标项500+。

图4 指南评估指标结构对照

指南使用方法

　　指南用于医院自行评估，旨在协助医院进行“指导医院规划-评估运营现状-改进建设不足”，各个医院可自行选择开展，如在评估过程中遇到问题，可联系CHIMA进行咨询（电话：010-84279272）。

　　指南评估涵盖明确目标等级、收集佐证材料、执行评估、成熟度层级分析和优化改进五个核心步骤，类似与等级保护测评等各类测评，总体评估算法简单易懂，与指标条目进行符合与不符合的选择，最终给出符合度。需要注意的是，在评估过程中要同时满足本级别和所有低于该级别的能力项要求，才能达成本级别的能力水平，以此类推。

图5 指南评估流程图

　　第一步：明确目标等级

　　评估前需要根据医院自身情况选择对应的建设目标，不同目标层级评估指标数不同，需要同时满足本级别和所有低于该级别的能力项要求，才能达成本级别的能力水平，以此类推。

　　第二步：收集相关材料

表1 材料清单示例

　　第三步：执行评估

　　根据医院制定的目标等级，来评估所有过程项对应层级指标（根据条件对比建设情况，选择符合和不符合即可），如目标层级为3级，则需要评估所有工作项L1~L3的指标，如下红框所标。

图6 指南评估示例

　　第四步：计算结果

　　根据评估结果计算层级符合度，按照评估原则进行判定，最终判定的目标层级及所有低于目标层级的符合度均需要达到80%，如若达到则层级为目标层级。

表2 层级域评判标准

指南亮点描述

　　亮点一：基于法律法规拆解的全集化工作项

　　通过深入研究国家以及行业法律法规如《网络安全法》《等级保护》《关键基础设施保护条例》《医疗卫生机构网络安全管理办法》等要求，识别出医院应该做哪些安全工作，解读和识别各类安全要求，明确所需补充完善的安全能力，助力安全运营工作零死角。

　　亮点二：创新型添加工作执行能力项

　　相较于其他成熟度模型来讲，不仅仅停留在建设层面，指南新增对工作执行结果的评估，以此来反馈实际工作效果，包括根据不同的安全工作内容，确定合理的执行频次，确保安全工作覆盖医院的网络环境情况和组织架构情况

　　亮点三：行业首个对运营工作进行评估的指南

　　指南开创性地构建了安全运营管理评估体系，从制度流程、人员组织等维度制定标准化评估指标，将医院网络安全运营管理要求转化为可衡量、可考核的具体标准，精准评估管理工作成效，推动医院网络安全运营管理体系实现规范化、科学化建设，填补行业在安全运营建设领域的空白。

结语

　　从开题到发布，从标准制定到实战落地，指南的诞生标志着医院网络安全运营进入 “体系化建设、科学化评估、持续化改进” 的新阶段。